Киберугрозы на передовой: от атак на JavaScript до утечек данных клиентов Gucci

Мы собрали главные события в области кибербезопасности за прошедшую неделю.

Разработчики программного обеспечения становятся всё более уязвимыми для криптографических хакеров. По информации специалистов из организации Koi Security, группа хакеров под названием WhiteCobra нацелилась на пользователей кодовых редакторов VSCode, Cursor и Windsurf. Они выложили 24 вредоносных расширения на Visual Studio Marketplace и в реестре Open VSX.

Одной из известных жертв «опустошителей» стал Зак Коул, ключевой разработчик Ethereum.

Он сообщил, что хакеры украли криптовалюту через плагин для ИИ-редактора кода Cursor. Коул отметил, что это расширение выглядело совершенно безобидным: имело профессионально оформленный логотип, содержательное описание и 54 000 загрузок на OpenVSX — официальном реестре Cursor.

Специалисты Koi Security предполагают, что WhiteCobra связана с той же группировкой, которая в июле украла $500 000 у российского блокчейн-разработчика.

«Кросс-платформенность и недостаток должной проверки при публикации на этих ресурсах делают их идеальными для злоумышленников, которые стремятся к широкому охвату», — отмечается в отчете Koi Security.

Вредоносный код начинает действовать с основного файла extension.js, который почти полностью идентичен стандартному шаблону Hello World, размещённому с каждым новым расширением для VSCode. Затем злонамеренное ПО распаковывает стиль стеллера в зависимости от операционной системы.

Основная цель WhiteCobra — владельцы цифровых активов на сумму от $10 000 до $500 000. Аналитики считают, что группа может перенастроить свою кампанию менее чем за три часа.

Пока хакеров трудно остановить: несмотря на удаление вредоносных плагинов из OpenVSX, на их месте появляются новые.

Эксперты советуют использовать только проверенные проекты с хорошей репутацией и осторожно относиться к новым версиям, которые быстро набирают много загрузок и положительных отзывов.

Федеральная полиция Канады провела рекордную конфискацию криптовалюты, вызвавшую интерес ончейн-детективов, таких как ZachXBT.

Полиция изъяла активы с торговой платформы TradeOgre на сумму свыше 56 миллионов канадских долларов (~$40,5 миллионов). Закрытие данной платформы для обмена криптовалют стало первым таким событием в стране.

Расследование началось в июне 2024 года после получения информации от Европола и выявило, что платформа нарушала законы Канады и не прошла регистрацию в Центре анализа финансовых операций и отчетов как обменник.

Существуют подозрения, что большая часть средств, проходивших через TradeOgre, происходила из криминальных источников. Платформа стала привлекательной для преступников благодаря отсутствию обязательной идентификации пользователей.

По данным полиции, информация о транзакциях с TradeOgre будет тщательно проанализирована для выдвижения обвинений. Расследование продолжается.

После атаки на платформу NPM с целью внедрения вредоносного ПО в пакеты JavaScript злоумышленники переключились на распространение полноценного «червя». Ситуация усложняется: на момент написания более 500 NPM-пакетов были скомпрометированы.

Координированная кампания Shai-Hulud стартовала 15 сентября с компрометации NPM-пакета @ctrl/tinycolor, который еженедельно загружается более 2 миллионов раз.

Аналитики из Truesec сообщают, что кампания значительно расширилась и охватывает пакеты в пространстве имен CrowdStrike.

Эксперты отмечают, что скомпрометированные версии содержат функцию, которая извлекает tar-архив, изменяет файл package.json, добавляет локальный скрипт, пересобирает архив и переиздает его. При установке скрипт автоматически запускает TruffleHog — легитимный инструмент для поиска секретов и токенов.

Отмечается, что атака значительно эволюционирует и становится всё более изощренной. Несмотря на использование старых методов, хакеры значительно улучшили свою технику и создали полностью автономного «червя», который распространяется на все NPM-пакеты.

Jaguar Land Rover (JLR) не может возобновить производство на протяжении третьей недели подряд из-за кибератаки. Производитель роскошных автомобилей подтвердил, что сборка остановлена как минимум до 24 сентября.

Компания признала утечку данных из своей сети, но пока не может точно определить ответственных за атаку.

Согласно информации от BleepingComputer, к атаке причастна группа киберпреступников Scattered Lapsus$ Hunters, которая разместила в Telegram-канале скриншоты внутренней системы JLR. В публикации утверждается, что хакеры развернули программу-вымогатель на захваченной инфраструктуре.

По оценкам BBC, каждая неделя принудительной остановки обходится компании как минимум в 50 миллионов фунтов стерлингов (~$68 миллионов). Согласно The Telegraph, потери за тот же период составляют около $100 миллионов. Поставщики JLR обеспокоены тем, что не смогут справиться с неожиданным кризисом и боятся банкротства.

12 сентября исследователи из группы Great Firewall Report сообщили о крупнейшей утечке данных в истории китайского интернет-фильтра.

В сеть попало около 600 ГБ конфиденциальной документации, исходных кодов и внутренней переписки разработчиков, применяемых для функционирования и поддержки китайской системы контроля трафика.

Как утверждают исследователи, утечка включает полные сборочные системы платформ слежения, а также модули, ответственные за выявление и замедление определенных инструментов обхода блокировок. Основное внимание уделяется обнаружению запрещённых VPN в Китае.

Специалисты Great Firewall Report также указали на наличие упоминаний о платформе Tiangou, предназначенной для использования провайдерами и пограничными контролями. Эксперты полагают, что начальные версии программы запускались на серверах HP и Dell.

Кроме того, в раскрытых материалах указано на использование программного обеспечения в 26 дата-центрах Мьянмы. Система, по всей видимости, управлялась государственной телекоммуникационной компанией, и была интегрирована в основные точки обмена интернет-трафиком, что позволяло осуществлять массовую блокировку и выборочную фильтрацию.

Согласно Wired и Amnesty International, данная инфраструктура экспортировалась в Пакистан, Эфиопию, Казахстан и другие страны, где она используется совместно с другими платформами для законного перехвата трафика.

15 сентября концерн Kering, владелец нескольких люксовых брендов, подтвердил утечку данных, касающуюся клиентов его дочерних компаний, включая Gucci, Balenciaga, Alexander McQueen и Yves Saint Laurent.

По информации BBC, хакеры получили доступ к личным данным, включая имена, адреса электронной почты, номера телефонов и домашние адреса, а также общую сумму покупок клиентов в магазинах по всему миру.

Группу предположительно возглавляет хакерская организация ShinyHunters, которая утверждает, что украла личные данные как минимум 7 миллионов человек, но количество пострадавших, скорее всего, значительно превышает это число.

Утечка также связывается с кражей нескольких баз данных, размещенных в Salesforce, и несколько компаний, включая Allianz Life, Google, Qantas и Workday, подтвердили факт кражи данных в результате этих массовых атак.